網(wǎng)絡(luò)安全永遠(yuǎn)在“道高一尺,,魔高一丈”的攻防博弈中發(fā)展演進(jìn),,并逐步達(dá)到動(dòng)態(tài)平衡,。由于新一代高級網(wǎng)絡(luò)攻擊技術(shù)變得更加隱蔽,,正對傳統(tǒng)安全方案建立起“降維打擊”的優(yōu)勢,。在實(shí)戰(zhàn)化攻防對抗的背景下,,隨著越來越多企業(yè)業(yè)務(wù)云化,,終端種類變多,、資產(chǎn)梳理復(fù)雜,暴露面隨之?dāng)U大,,傳統(tǒng)的單點(diǎn)威脅檢測模式難以全面實(shí)現(xiàn)風(fēng)險(xiǎn)可視,,成為橫亙在企業(yè)數(shù)字化轉(zhuǎn)型過程中的“致命”難題。
“忽如一夜春風(fēng)來”,,XDR(擴(kuò)展威脅檢測與響應(yīng))似乎成了這根“救命稻草”,?
DR技術(shù)演進(jìn)與XDR應(yīng)用價(jià)值
簡單回顧一下DR類技術(shù)的發(fā)展與演進(jìn):
第一階段
1 在最初的網(wǎng)絡(luò)側(cè)IDS產(chǎn)品中,,由于只看到網(wǎng)絡(luò)流量上的行為、數(shù)據(jù)特征等,,因此在進(jìn)行威脅檢測時(shí),,很難實(shí)現(xiàn)閉環(huán)處置或者說定位真正的威脅,需要通過殺毒軟件來進(jìn)行處置,。
第二階段
3 在殺毒軟件之后,,又出現(xiàn)了EDR、NDR類威脅檢測產(chǎn)品,,但是這些單點(diǎn)性的安全產(chǎn)品無法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況,,難以通過溯源找到真正的攻擊點(diǎn)。
第三階段
2 殺毒軟件產(chǎn)品主要采用特征庫比對的檢測模式,,很難應(yīng)對病毒軟件的變種和繞過,。
第四階段
4 在這樣的背景下,研究人員開始嘗試把端和網(wǎng),,甚至像郵件,、云之類的數(shù)據(jù)結(jié)合在一起進(jìn)行系統(tǒng)化、全局化的威脅檢測,,因此產(chǎn)生了XDR這樣的技術(shù)理念,。
XDR概念一經(jīng)提出就受到業(yè)界廣泛關(guān)注,被認(rèn)為是一種可以實(shí)現(xiàn)“交鑰匙式”威脅檢測與響應(yīng)技術(shù)高效集成的技術(shù)模式,。根據(jù)Gartner的定義,,XDR是一個(gè)統(tǒng)一的安全威脅檢測與事件響應(yīng)平臺(tái),無縫集成大量安全能力到一個(gè)安全運(yùn)營系統(tǒng),,將來自云,、網(wǎng)、端等多源異構(gòu)數(shù)據(jù)統(tǒng)一整合形成數(shù)據(jù)湖,;精準(zhǔn)檢測高級威脅,,并對入侵事件進(jìn)行分診,對入侵過程進(jìn)行追根溯源,;同時(shí)實(shí)現(xiàn)跨人員,、跨設(shè)備間的交叉聯(lián)動(dòng)與多點(diǎn)處置,實(shí)現(xiàn)安全閉環(huán),,適配不斷演進(jìn)的業(yè)務(wù)需求和客戶訴求,。
從上述定義看,XDR和SIEM,、SOC等安全平臺(tái)類技術(shù)似乎沒有太大差別,,原理都是通過采集安全數(shù)據(jù),并用機(jī)器學(xué)習(xí)或者基于規(guī)則去做檢測。但是,,XDR最大的特點(diǎn)在于,,其核心產(chǎn)品能力是聚焦于通過一手遙測數(shù)據(jù)聚合分析進(jìn)行檢測和響應(yīng);同時(shí),,XDR方案要求具備更快速的自動(dòng)化響應(yīng)能力,,也可以通過對接第三方組件,在統(tǒng)一的集中界面中進(jìn)行操作,,完成響應(yīng)任務(wù),。
綜合來看,XDR技術(shù),,最根本的目的是滿足企業(yè)在面對新型網(wǎng)絡(luò)攻擊時(shí)不斷提升檢測及響應(yīng)能力,。對于企業(yè)用戶而言,,XDR的應(yīng)用可以體現(xiàn)出三個(gè)方面的價(jià)值:一是能夠提高安全運(yùn)營的效率和價(jià)值,,可以更快地發(fā)現(xiàn)威脅和自動(dòng)化響應(yīng)處理威脅事件;二是降低安全運(yùn)營的復(fù)雜度,,實(shí)現(xiàn)對整個(gè)攻擊面全面可視化,,及時(shí)發(fā)現(xiàn)高級復(fù)雜威脅及攻擊;三是統(tǒng)一的解決方案,,降低了安全運(yùn)營的對接成本和使用成本,。
XDR落地應(yīng)用的挑戰(zhàn)
從國外先進(jìn)國家的應(yīng)用經(jīng)驗(yàn)來看,DR類產(chǎn)品已經(jīng)在市場上得到較廣泛的應(yīng)用,,EDR,、NDR產(chǎn)品已經(jīng)成為很多用戶的標(biāo)配。但目前單一檢測產(chǎn)品的可見性不足,,存在大量誤報(bào)漏報(bào),,理論上來講,XDR的檢測更全面,、生成事件更準(zhǔn)確,,因此,可以認(rèn)為它會(huì)是未來5-10年里主要的安全技術(shù)發(fā)展方向之一,。
盡管XDR 產(chǎn)品具有巨大的前景,,但XDR產(chǎn)品理念能否真正兌現(xiàn)仍然充滿挑戰(zhàn)。安全?!禭DR應(yīng)用指南報(bào)告》調(diào)研發(fā)現(xiàn),,我國企業(yè)用戶在XDR的建設(shè)過程中會(huì)面臨挑戰(zhàn)主要包括:
1 是否能夠有效實(shí)現(xiàn)終端威脅檢測能力?XDR一般需要部署終端組件或產(chǎn)品,,那么終端是不是能部署下去,,是不是容易部署下去?以及終端探針部署上去以后,對企業(yè)原有業(yè)務(wù)的干擾,、影響等,。比如,有些用戶通過現(xiàn)有的桌面管理系統(tǒng),、上網(wǎng)行為管理之類的產(chǎn)品,,就可以很方便地部署下去。有些可能需要一個(gè)個(gè)人工部署,,這種方式的成本就非常高,,負(fù)擔(dān)太重。
2 是否能夠保護(hù)企業(yè)現(xiàn)有的安全投資,?由于對網(wǎng)絡(luò)安全的重視,,很多企業(yè)已經(jīng)應(yīng)用了很多單點(diǎn)安全設(shè)備,這些用戶會(huì)有保護(hù)現(xiàn)有安全投資的需求,。對于XDR廠商來說,,是否能夠把用戶現(xiàn)有產(chǎn)品的數(shù)據(jù)接進(jìn)來,把它們利用起來,,保護(hù)現(xiàn)有投資,,是一個(gè)比較大的挑戰(zhàn)。
3 能否實(shí)現(xiàn)可持續(xù)的安全運(yùn)營,?企業(yè)建設(shè)XDR的初衷是提高安全運(yùn)營效率,,而且需要快速安裝上線并立即發(fā)揮作用,同時(shí)還要考慮到安全運(yùn)營能力與成本,。但現(xiàn)在很多DR類產(chǎn)品設(shè)計(jì)得曲高和寡,,一般用戶比較難用起來,因?yàn)楹芏嗑椭皇菣z測結(jié)果展現(xiàn),,需要人工介入做響應(yīng),。如果用戶沒有專業(yè)的安全分析師(團(tuán)隊(duì)),如何讓XDR項(xiàng)目也能被真正有效的使用起來,?
面對以上建設(shè)挑戰(zhàn),,我們也看到行業(yè)中有一些對XDR未來發(fā)展的質(zhì)疑:對于企業(yè)組織,特別是一些安全運(yùn)營能力有限的中小企業(yè)用戶,,能否真正從XDR項(xiàng)目中獲益,?XDR需要實(shí)現(xiàn)多種安全能力的整合,在此過程中是否會(huì)潛藏很多的陷阱,?XDR的應(yīng)用價(jià)值是否真正可以兌現(xiàn),?企業(yè)是否應(yīng)該積極開展XDR的建設(shè)應(yīng)用呢?
SaaS化的XDR落地部署
盡管存在很多挑戰(zhàn),,但更高效,、更有效的安全運(yùn)營總體回報(bào)使XDR成為前景光明的企業(yè)安全防護(hù)創(chuàng)新方法,。對于企業(yè)用戶而言,開展XDR項(xiàng)目建設(shè)主要有以下三種模式:
最傳統(tǒng)的部署方式就是本地化部署,。一些基礎(chǔ)安全能力建設(shè)比較完善的企業(yè),,或者出于合規(guī)等各方面的考慮,不能將數(shù)據(jù)放到云端的企業(yè),,通常會(huì)采用本地化部署建設(shè)的XDR構(gòu)建模式,;
另一種正在興起的就是SaaS化部署,這在國外比較常見,;
還有一種是“本地化存儲(chǔ)+連接云端”(本地化連云)的部署方式,,就是數(shù)據(jù)在本地存儲(chǔ),但可以訪問連接到云端,,可以從廠商的云端去拉取一些情報(bào),,獲取快速更新的檢測能力,得到專家意見和反饋之類服務(wù),。
用戶在選擇XDR建設(shè)模式的時(shí)候,,需要充分考慮自身的實(shí)際使用情況。如果用戶對自身數(shù)據(jù)的合規(guī)要求比較嚴(yán)格,,或?yàn)榱遂`活擴(kuò)展各種功能應(yīng)用,,只能考慮本地化或者純離線方式,。對于大多數(shù)企業(yè)用戶,,可以從兩方面來考慮:一方面,看預(yù)算,。相對而言,,像SaaS化這種部署方式就比較經(jīng)濟(jì),并且可以根據(jù)期望效果按需購買,;另一方面,,看用戶自身的安全運(yùn)營能力。如果用戶沒有足夠的安全運(yùn)營能力保障,,就需要考慮如何更有效地利用XDR廠商的專家服務(wù),。
在我國,早期的XDR項(xiàng)目建設(shè)大多以本地化部署的方式存在,。然而在Gartner對XDR定義中,,基于云計(jì)算的SaaS化服務(wù)則是XDR的基礎(chǔ)性要求之一。隨著用戶對托管安全建設(shè)需求的增加,,SaaS化的XDR方案在國內(nèi)也開始正式落地,。
以深信服科技為例,其在今年5月正式發(fā)布了新一代基于SaaS的安全威脅檢測和事件響應(yīng)平臺(tái),,通過原生的流量采集工具與端點(diǎn)采集工具將一手關(guān)鍵數(shù)據(jù)聚合,,綜合利用網(wǎng)端聚合分析引擎、上下文關(guān)聯(lián)分析,實(shí)現(xiàn)攻擊鏈深度溯源,,并結(jié)合托管檢測與響應(yīng)服務(wù)MDR,,釋放人員精力。同時(shí),,平臺(tái)還具備可擴(kuò)展的接口開放性,,能夠協(xié)同SOAR等產(chǎn)品,化繁為簡,,帶來深度檢測,、精準(zhǔn)響應(yīng)、持續(xù)生長的安全效果體驗(yàn),。
深信服XDR平臺(tái)CTO顧立明表示,,通過云端的存儲(chǔ)和計(jì)算資源,深信服XDR能夠幫助用戶解決原有安全設(shè)備一次性投入成本高,、能力更新慢,、可擴(kuò)展性差等問題;同時(shí)可基于不同的場景時(shí)期的不同需求,,彈性擴(kuò)展,,適配用戶的業(yè)務(wù)發(fā)展需要,由此,,深信服SaaS XDR顯著降低投資建設(shè)成本和運(yùn)營人資成本,,實(shí)現(xiàn)更高性價(jià)的同時(shí),安全效果和安全運(yùn)營效率也顯著提升,。
需要指出的是,,SaaS化的XDR技術(shù)并不能被看成是MSS、MDR等服務(wù),,MDR和MSS是一個(gè)純服務(wù)的方案,,XDR則是一個(gè)技術(shù)能力平臺(tái),兩者結(jié)合可以實(shí)現(xiàn)更好的威脅檢測與響應(yīng),。在沒有XDR技術(shù)的情況下,,MSS和MDR服務(wù)也可以進(jìn)行。以前的服務(wù)基于單點(diǎn)安全工具的專家服務(wù)方式來支撐,,會(huì)存在效率較低,、服務(wù)商的成本較高、用戶的響應(yīng)速度較慢,、安全事件閉環(huán)處置周期較長等問題,。
SaaS交付可以實(shí)現(xiàn)安全運(yùn)維更高效、更高性價(jià)比,,但如何保障安全性,?據(jù)顧立明介紹,,深信服SaaS XDR在架構(gòu)設(shè)計(jì)方面,建立數(shù)據(jù)加密兜底機(jī)制,,即使被攻破導(dǎo)致數(shù)據(jù)外泄,,也無法解密,同時(shí)通過深信服安全藍(lán)軍,、安服團(tuán)隊(duì),、外部機(jī)構(gòu)持續(xù)進(jìn)行攻防演練。在穩(wěn)定性方面,,深信服SaaS XDR基于托管云底座,,穩(wěn)定性SLA高達(dá)99.9%,通過安全運(yùn)維團(tuán)隊(duì)對平臺(tái)各項(xiàng)指標(biāo),、日志,、資源進(jìn)行實(shí)時(shí)監(jiān)控。
除了平臺(tái)自身能力,,深信服SaaS XDR還可對接托管檢測與響應(yīng)服務(wù)MDR,,實(shí)現(xiàn)云地協(xié)同7*24小時(shí)在線,持續(xù)監(jiān)測威脅和事件,,從監(jiān)測,、判斷、調(diào)查到處置,,服務(wù)專家實(shí)時(shí)處置閉環(huán),,定期匯總成果和分析安全趨勢,減輕運(yùn)維人員日常工作壓力,。
XDR的關(guān)鍵能力評價(jià)
目前,,XDR市場整體發(fā)展還不成熟,,有很多安全廠商都宣稱其可以提供XDR產(chǎn)品,,但是實(shí)際功能差異很大,產(chǎn)品應(yīng)用表現(xiàn)也參差不齊,??梢姌?gòu)建實(shí)戰(zhàn)化攻防有效的 XDR能力比看起來更具挑戰(zhàn)性。缺乏數(shù)據(jù)收集,、通用數(shù)據(jù)格式和 API,,以及建立在傳統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)上的產(chǎn)品,導(dǎo)致了很多XDR產(chǎn)品不能具備很好的可擴(kuò)展性和云原生能力,。
從XDR方案架構(gòu)的角度看,,現(xiàn)在XDR技術(shù)主要有兩類:一類是以同一廠商的組件為主,即端,、網(wǎng),、云等安全產(chǎn)品等都由一個(gè)廠商提供,,可能會(huì)少量兼容、接入第三方設(shè)備,,但以同一廠商的產(chǎn)品為主,;第二類是廠商做一個(gè)開放性XDR平臺(tái),并制定統(tǒng)一標(biāo)準(zhǔn),,類似Open XDR之類的組織,,它會(huì)擁抱第三方組件接入,給它提供數(shù)據(jù)和能力,。
顧立明表示:對于我國企業(yè)用戶來說,,這兩種方案各有利弊。從短期來看,,前者在安全效果,、安全效率等各方面都更有保障,因?yàn)橥粋€(gè)廠商對自己數(shù)據(jù)的整合會(huì)更好,,對數(shù)據(jù)的深入使用,、分析也會(huì)做得更好一些。從長期來看,,理論上講第二種方案會(huì)更好一些,,但目前尚缺乏統(tǒng)一的XDR技術(shù)行業(yè)標(biāo)準(zhǔn),因此在多廠商能力的標(biāo)準(zhǔn)化整合中,,其實(shí)現(xiàn)效果還需要進(jìn)一步觀察和驗(yàn)證,。
從產(chǎn)品可用性角度來看,新一代XDR產(chǎn)品需要通過其收集的深度活動(dòng)數(shù)據(jù)以及跨層掃描,,防止針對端點(diǎn),、數(shù)據(jù)和應(yīng)用程序的惡意攻擊,在海量的安全告警信息中發(fā)現(xiàn)真正的威脅,,并且快速進(jìn)行處置,。顧立明認(rèn)為,考量新一代XDR系統(tǒng)的核心能力指標(biāo)應(yīng)該包括以下方面:
看XDR終端側(cè)探針的操作系統(tǒng)支持程度?,F(xiàn)有XDR方案一般都會(huì)涉及終端側(cè)的探針,,可能是一個(gè)EPP,也可能是一個(gè)EDR,,或者是一個(gè)終端的智能探針,。用戶需要根據(jù)自己的業(yè)務(wù)情況,判斷廠商的探針種類是不是足夠豐富,。
終端探針的性能如何也是重要指標(biāo),。比如:終端探針的輕量性是不是足夠好,資源開銷是不是控制得比較好,,對用戶業(yè)務(wù)的干擾能否盡可能低,,以及終端探針是不是容易部署等,,這些都是判斷終端探針優(yōu)劣的關(guān)鍵性能力指標(biāo)。
看XDR產(chǎn)品或方案檢測精度如何,。例如:看它的誤報(bào)控制做得怎么樣,;看它在做溯源和影響面評估時(shí),支持的場景是不是足夠豐富,,對場景的還原程度怎么樣等,。舉個(gè)例子,比如說進(jìn)程注入,、機(jī)器重啟,、跨終端溯源時(shí),是不是都可以覆蓋到,,可以自動(dòng)溯源,。
對于安全建設(shè)比較完善的客戶來說,他們有自己的安全團(tuán)隊(duì),,因此會(huì)有較多的定制化安全要求,。譬如:他們會(huì)看廠商是不是支持自定義檢測;會(huì)看廠商的威脅狩獵支撐情況,;會(huì)看廠商的內(nèi)建情報(bào)系統(tǒng)怎么樣,,是不是支持第三方情報(bào)導(dǎo)入等。
XDR的未來發(fā)展
XDR技術(shù)的出現(xiàn),,是為了更好解決當(dāng)前高級威脅引發(fā)的安全問題,,因此,其價(jià)值需要通過更多實(shí)際的應(yīng)用去驗(yàn)證和展現(xiàn),。而XDR技術(shù)未來需要完善的地方,,也應(yīng)該從目前企業(yè)安全防護(hù)體系中效果最差、實(shí)現(xiàn)最難的角度去思考:
1 AI技術(shù)的深入應(yīng)用
隨著攻擊手段層出不窮,,用戶經(jīng)常需要面臨未知威脅和復(fù)雜攻擊,,未來的威脅檢測會(huì)基于海量數(shù)據(jù)分析,而AI是自動(dòng)分析海量數(shù)據(jù)的主要技術(shù)手段,。因此,,在威脅檢測領(lǐng)域需要人工智能技術(shù)不斷迭代優(yōu)化,增強(qiáng)自我學(xué)習(xí)及數(shù)據(jù)分析運(yùn)算能力,。XDR 系統(tǒng)威脅檢測能力依賴于人工智能技術(shù)的發(fā)展水平。
2 更精準(zhǔn)的響應(yīng)
很多企業(yè)由于安全和運(yùn)維人員短缺,,更希望通過自動(dòng)化方式執(zhí)行重復(fù)任務(wù),。更精準(zhǔn)的自動(dòng)化響應(yīng)需要 XDR 平臺(tái)支持更靈活的劇本編排,能夠與更多的安全產(chǎn)品聯(lián)動(dòng),,支持更豐富完善的策略下發(fā)和響應(yīng)動(dòng)作執(zhí)行,。
3 結(jié)合MDR服務(wù)
MDR 作為外包服務(wù)運(yùn)行,,外部專業(yè)人員通常使用 EDR、NDR和XDR工具對組織的系統(tǒng)執(zhí)行檢測和響應(yīng),。對于沒有內(nèi)部專業(yè)知識或資源來操作檢測和響應(yīng)工具的組織來說,,這可能是一個(gè)不錯(cuò)的選擇。據(jù)ESG 的調(diào)查顯示,,73% 的北美和加拿大組織已經(jīng)在使用或者積極開展項(xiàng)目使用 MDR 服務(wù),,有超過一半的人認(rèn)為,MDR 供應(yīng)商在威脅檢測和響應(yīng)方面比他們自己做得更好,,38% 的人認(rèn)為 MDR 是安全運(yùn)維工程師技能提升的有效工具,。
4 通過標(biāo)準(zhǔn)實(shí)現(xiàn)互通
許多企業(yè)出于降低安全風(fēng)險(xiǎn)考慮,需要采購多個(gè)供應(yīng)商的安全設(shè)備,。多種安全設(shè)備需要有統(tǒng)一的互聯(lián)互通標(biāo)準(zhǔn),,企業(yè)才能享受到聯(lián)防聯(lián)控帶來的益處,其中格式及協(xié)議的“開放性”是關(guān)鍵,,包括數(shù)據(jù)格式,、API 標(biāo)準(zhǔn)、互操作協(xié)議等,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<